透明性のガイドライン(WP260 rev.01)を読む(11)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

2018年6月29日アメリカのカリフォルニア州で新しいprivacy法が誕生しました。
California Consumer Privacy Act of 2018と呼ばれるこの法律はGDPRに近い内容の法律であり、世界中の法律がGDPRに倣い始めていることのあらわれと言って良いと思います。チリでも同様の動きがあり、新憲法にプライバシー法が追記されました。

特に処理の原則については同等の要求が世界中でなされることとなるでしょう。
GDPRを契機に社内のデータ保護体制を見直し始めたほうが良いかもしれません。

GDPRについて、少し気になるニュースも出ています。
6月25日にスロバキアのデータ保護当局が次のようなコメントを出しています。
「2年の準備期間は与えられたのだから零細、小規模、中規模の企業に対して更なる猶予を与えることはない」

GDPRについて何もしないというのは少し難しい状況になりつつあるのではないかと感じます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<書面またはその他の方法で>

【18】
電子媒体で階層構造となったprivacy statement/noticeを使用する以外の方法でも、文章による電子的な情報通知を行うことは可能です。
例えば「ジャスト・イン・タイム」方式で文脈に合った情報通知が表示される、3Dで表示される、宙に浮くような形態で表示される、プライバシーダッシュボード等で掲載される等さまざまな方法が取れることでしょう。ビデオやスマートフォン・IoTでの音声によるアラート等、文章によらない情報通知方法も選択肢としてとることが可能です。

電子媒体でないという選択肢もあります。
マンガ、インフォグラフィックス、フローチャートといったものを活用するのも良いでしょう。

子供に向けて透明性の原理についての説明を行う場合は、特に、子供にとってどういう方法がもっともアクセス性が高いかを考えてください。
マンガなのか、ピクトグラムなのか、アニメなのか、といったさまざまな選択肢を取れると思います。

【19】
情報通知を行う方法を選ぶ際は、管理者とデータ主体が接触する場面やデータ主体のデータが取得される場面にふさわしい形で情報通知が行われることを心がけてください。
IoTデバイスやスマートデバイス等、ウェブサイトにアクセスできない、またはスクリーン上で情報通知を確認することができないようなときに、オンライン上でprivacy statement/noticeを掲示しているだけでは不十分といわざるを得ません。

そのような場合、適切な追加措置を行わなければなりません。取扱説明書にprivacy statement/noticeを(ハードコピー形式で)記載する、ハードコピーの取扱説明書やパッケージそのものにprivacy statement/noticeを確認可能なURLウェブサイトアドレスを記載する、といった方法がその一つとして考えられるでしょう。

スクリーンがない装置で音声を用いることができる場合は、音声による情報通知を追加措置として使用することが可能です。
WP29はIoTについて意見(opinion)を出しています。(Opinion 8/2014)IoT製品にQRコードをつけて透明性に関する情報を提示する等、データ主体への情報提供のあり方を掲載しています。GDPR対応を行ううえでも参考にしてください。